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@) Verfahren zum rechnergestutzten Austausch kryptographischer Schlussei zwischen einer 
Benutzercomputereinheit U und einer Netzcomputereinheit N 

(§) Die Erfindung betrifft ein Verfahren, mit dem ein Sitzungs- 
schlussel (K) zwischen einer Benutzerconrtputereinheit (U) 
und einer Netzconnputereinheit (N) vereinbart werden kann, 
ohne daS ein unbefugter Dritter nutzliche Infornnation 
bezuglich der Schtussel oder der tdentitat der Benutzercom- 
putereinheit (U) erhalten kann. Dies wird erreicht durch die 
Einbettung das Prinzips des El-Gamal Schlusselaustauschs 
in das erfindungsgema&e Verfahren. Durch die Verwendung 
zweier Zufallszahlen (t, r) wird die Aktualitat des Sitzungs- 
schlussels (K) gewahrleistet. Der Sitzungsschlussel (K) 
selbst wird niemals ubertragen und kann sennit nicht von 
einem unbefugten Drttten ermitteit werden. 
AuBerdem bietet das erfindungsgemaSe Verfahren zusatzli- 
che Sicherheitsnnachanismen, wia z. B. die expllzite Authen- 
■ tifikation der Netzcomputereinheit (N) durch die Benutzer- 
I computereinheit (U) oder auch die Bestatigung des Sit- 
zungsschlussels (K) von der Netzcomputereinheit (N] an die 
Benutzercomputereinheit (B). 
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Beschreibung 

Informationstechnische Systeme unterliegen ver- 
schiedenen Bedrohungen. So kann z. B. Ubertragene In- 
formation von einem unbefugten Dritten abgehort und 
verandert werden. Eine weitere Bedrohung bei der 
Kommunikation zweier Kommunikationspartner liegt 
in der Vorspiegelung einer falschen Identit^t eines 
Kommunikationspartners. 

Diesen und weiteren Bedrohungen wird durch ver- 
schiedene Sicherheitsmechanismen* die das informa- 
tionstechnische System vor den Bedrohungen schiitzen 
soUen, begegnet Ein zur Sicherung verwendeter Sicher- 
heitsmechanismus ist die VerschlUsselung der ubertra- 
genen Daten. Damit die Daten in einer Kommunika- 
tionsbeziehung zwischen zwei Konununikationspart- 
nern verschlOsselt werden k6nnen, mQssen vor der 
Obertragung der eigentlichen Daten erst Schritte 
durchgeftthrt werden, die die VerschlUsselung vorberei- 
ten. Die Schritte kdnnen z. B. darin bestehen, daB sich 
die beiden Kommunikationspartner auf einen Ver- 
schlUsselungsalgorithmus einigen und daB ggf. die ge- 
meinsamen geheimen Schltissel vereinbart werden, 

Besondere Bedeutung gewinnt der Sicherheitsmecha- 
nismus VerschlOsselung bei Mobilfunksystemen, da die 
ubertragenen Daten in diesen Systemen von jedem 
Dritten ohne besonderen zusatzlichen Aufwand abge- 
h6rt werden kdnnen. 

Dies fahrt zu der Anforderung, eine Auswahl bekann- 
ter Sicherheitsmechanismen so zu treffen und diese Si- 
cherheitsmechanismen geeignet zu kombinieren, sowie 
KommunikationsprotokoUe zu spezifizieren, daB durch 
sie die Sicherheit von informationstechnischen Syste- 
men gewahrleistet wird 

Es sind verschiedene asymmetrische Verfahren zum 
rechnergestiitzen Austausch kryptographischer Schliis- 
sel bekannt Asymmetrische Verfahren, die geeignet 
sind filr Mobilfunksysteme, sind (A. Aziz, W. Diffie, "Pri- 
vacy and Authentication for Wireless Liocal Area Net- 
works", IEEE Personal Communications, 1994, S. 25 bis 
31) und (M. Seller, "Proposed Authentication and Key 
Agreement Protocol for PCS", Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions. P&A JEM 1993, 1993. S. I bis 11). 

Das in (A. Aziz, W. Diffie, "Privacy and Authentication 
for Wu-eless Local Area Networks", IEEE Personal 
Communications, 1994, S. 25 bis 31) beschriebene Ver- 
fahren bezieht sich ausdrticklich auf iokale Netzwerke 
und stellt hdhere Rechenleistungsanforderungen an die 
Computereinheiten der Kommunikationspartner wah- 
rend des SchlUsselaustauschs. AuBerdem wird in dem 
Verfahren mehr Obertragungskapazitat benotigt als in 
dem erfindungsgemaBen Verfahren, da die Lange der 
Nachrichten grdBer ist als bei dem erfindungsgemaBen 
Verfahren. 

Das in (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS", Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993, 1993, S. 1 bis 11) beschriebene 
Verfahren hat einige grundlegende Sicherheitszieie 
nicht realisiert Die explizite Authentifikation des Net- 
zes durch den Benutzer wird nicht erreicht AuBerdem 
wird ein vom Benutzer an das Netz Qbertragener 
Schltissel vom Netz nicht an den Benutzer bestatigt 
Auch eine Zusicherung der Frische (Aktualitat) des 
Schltissels ftir das Netz ist nicht vorgesehen. Ein weite- 
rer Nachteil dieses Verfahrens besteht in der Beschran- 
kung auf das Rabin- Verfahren bei der impliziten Au- 
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thentifizierung des Schltissels durch den Benutzer. Dies 
schrankt das Verfahren in einer flexibleren Anwendbar- 
keit ein. AuBerdem ist kein Sicherheitsmechanismus 
vorgesehen, der die Nichtabstreitbarkeit von ubertrage- 

5 nen Daten gewahrleistet Dies ist ein erheblicher Nach- 
teil vor allem auch bei der Erstellung unanfechtbarer 
Gebuhrenabrechnungen ftir ein Mobilfunksystem. Auch 
die Beschrankung des Verfahrens auf den National In- 
stitute of Standards in Technology Signature Standard 

10 (NIST DSS) als verwendete Signaturfunktion schrankt 
das Verfahren in seiner allgemeinen Verwendbarkeit 
ein. 

Aus der US-Patentschrift US 5 222 140 ist ein Verfah- 
ren bekannt, bei dem unter Verwendung sowohl eines 

15 offentiichen als auch eines geheimen Schltissels sowie 
unter Verwendung einer Zufallszahl ein Sitzungsschlus- 
sel erzeugt wird. Dieser wird mit einem dffentlichen 
Schltissel verknOpft 

Dieses Verfahren weist im Vergleich zu dem erfin- 

20 dungsgemaBen Verfahren weniger reaiisierte grundle- 
gende Sicherheitszieie auf. 

Weiterhin ist aus der Patentschrift US 5 153 919 ein 
Verfahren beschrieben, bei dem eine Benutzereinheit 
sich gegentiber einer Netzeinheit identifiziert Anschlie- 

25 Bend findet unter Anwendung einer Hash-Funktion zwi- 
schen der Benutzereinheit und der Netzeinheit ein Au- 
thentifizierungsprozeB statt 

Weitere sichere KommunikationsprotokoUe, die aber 
wesentliche grundlegende Sicherheitszieie nicht reali- 

30 sieren, sind bekannt (M. Belier et al, Privacy and Au- 
thentication on a Portable Communication System, 
IEEE Journal on Selected Areas in Communications, 
Vol. 1 1, No. 6, S. 821-829, 1993). 

Das Problem der Erfindung liegt darin, ein Verfahren 

35 zum rechnergesttitzten Austausch kryptographischer 
Schltissel anzugeben, das die oben genannten Nachteile 
vermeidet 

Dieses Problem wird durch das Verfahren gemaB Pa- 
tentanspruch 1 gelost 
40 Die durch das erfindungsgemaBe Verfahren erreich- 
ten Vorteile liegen vor allem in einer erheblichen Re- 
duktion der Lange der tibertragenen Nachrichten und in 
der Realisierung weiterer Sicherheitszieie. 

Durch das erfindungsgemaBe Verfahren werden fol- 
45 gende Sicherheitszieie realisiert: 

— Gegenseitige explizite Authentifizierung von 
dem Benutzer und dem Netz, d. h. die gegenseitige 
Verif izierung der behaupteten Identitat, 

50 — Schlusselvereinbarung zwischen dem Benutzer 
und dem Netz mit gegenseitiger impliziter Authen- 
tifizierung, d. h. daB durch das Verfahren erreicht 
wird, daB nach Abschlu8 der Prozedur ein gemein- 
samer geheimer Sitzungsschlussel zur Verftigung 

55 steht. von dem jede Partei weiB, daB nur das au- 
thentische Gegentiber sich ebenfalls im Besitz des 
geheimen Sitzungsschlussels befinden kann, 

— Zusicherung der Frische (Aktualitat) des Sit- 
zungsschltissels ftir den Benutzer, 

60 — gegenseitige Bestatigung des Sitzungsschltissels 
von dem Benutzer und dem Netz, d h. die Bestati- 
gung, daB das Gegentiber tatsachlich im Besitz des 
vereinbarten geheimen Sitzungsschltissels ist 

65 Durch die Weiterbildung gemafl Patentanspruch 2 
wird das Sicherheitsziel der Zusicherung der Frische 
(Aktualitat) des Sitzungsschlussels ftir das Netz reali- 
siert 
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Die Weiterbildung des erfindungsgem§Ben Verfah- 
rens gemlB Patentanspruch 3 ermdglicht die Verwen- 
dung von temporaren Benutzeridentitaten. 

Durch die Weiterbildung des erfindungsgemaBen 
Verfahrens gemaB Patentanspruch 4 wird das Sicher- 
heitsziel der Benutzeranonymitat realisiert, d. h. die Ver- 
traulichkeit der Identitat des Benutzers gegenUber Drit- 
ten, 

Durch die Weiterbildung des erfindungsgemaBen 
Verfahrens gemaS Patentanspruch 6 wird zusatzlich das 
Sicherheitsziei der Nichtabstreitbarkeit von Daten rea- 
lisiert, die vom Benutzer an das Netz gesendet warden. 

Das erfindungsgemaBe Verfahren ist auBerdem sehr 
leicht an unterschiedliche Anforderungen anpaBbar, da 
es sich nicht auf bestimmte Algorithmen fOr Signaturbil- 
dung und Verschliisselung beschrankt 

Weiterbildungen der Erfindung ergeben sich aus den 
abhangigen AnsprQchen. 

Die Zeichnungen stellen bevorzugte Ausfiihrungsbei- 
spieie der Erfindung dar, die im folgenden naher be- 
schrieben werden, 

£s zeigen 

Fig. 1 ein Ablaufdiagramm, das das erfindungsgema- 
Be Verfahren gemaB Patentanspruch 1 darstellt; 

Fig. 2 ein Diagramm, das das erfindungsgemaBe Ver- 
fahren mit zusatzlich realisierten Sicherheitszielen ge- 
maB einiger abhangiger PatentansprQche beschreibt 

Anhand der Fig, 1 und 2 wird die Erfindung weiter 
erlautert. 

In den Fig, 1 und 2 sind durch zwei Skizzen der Ab- 
lauf des erfindungsgemaBen Verfahrens dargestelit. Das 
erfindungsgemaBe Verfahren betrifft den Austausch 
kryptographischer Schliissel zwischen einer Benutzer- 
computereinheit U und einer Netzcomputereinheit N, 
wobei unter der Benutzercomputereinheit U eine Com- 
putereinheit eines Benutzers eines Mobilfunknetzes zu 
verstefaen ist und unter einer Netzcomputereinheit N 
eine Computereinheit des Netzbetreibers eines Mobil- 
funksystems zu verstehen ist 

Die Erfindung beschrankt sich jedoch nicht auf ein 
Mobilfunksystem und somit auch nicht auf einen Benut- 
zer eines Mobilfunksystems und das Netz. sondern kann 
in alien Bereichen angewendet werden, in denen ein 
krjrptographischer SchlOsselaustausch zwischen zwei 
Kommunikationspartnern bendtigt wird. Dies kann z. B. 
in einer Kommunikationsbeziehimg zwischen zwei 
Rechnern, die Daten in verschlOsselter Form austau- 
schen wollen, der Fall sein. Ohne Beschrankung der All- 
gemeingOltigkeit wird im folgenden also ein erster 
Kommunikationspartner als Benutzercomputereinheit 
U und ein zweiter Kommunikationspartner als Netz- 
computereinheit N bezeichnet 

Far das erfindungsgemaBe Verfahren gemaB An- 
spruch 1 wird vorausgesetzt, daB in der Benutzercom- 
putereinheit U ein vertrauenswiirdiger dffentlicher 
Netzschliissel g^ der Netzcomputereinheit N verfiigbar 
ist und daB in der Netzcomputereinheit N ein vertrau- 
enswQrdiger dffentlicher BenutzerschlQssel du der Be- 
nutzercomputereinheit U verfflgbar ist, wobei g ein er- 
zeugendes Element einer endlichen Gruppe ist 

In der Benutzercomputereinheit U wird eine erste 
Zuf allszahl t generiert Aus der ersten Zufallszahl t wird 
mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der Benutzercomputereinheit U ein erster 
Wert g* gebildet 

Asymmetrische Verfahren beruhen im wesentlichen 
auf zwei Problemen der Komplexitatstheorie, dem Pro- 
blem zusammengesetzte Zahlen effizient zu faktorisie- 
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ren, und dem diskreten Logarithmusproblem (DLP). 
Das DLP besteht darin, daB in geeigneten Rechenstruk- 
turen zwar Exponentiationen effizient durchgefQhrt 
werden konnen, daB jedoch fUr die Umkehrung dieser 
Operation, das Logarithmieren, keine effizienten Algo- 
rithmen bekannt sind 

Solche Rechenstrukturen sind z. B. unter den oben 
bezeichneten endlichen Gruppen zu verstehen, Diese 
sind z. B. die multiplikative Gruppe eines endlichen Kdr- 
pers (z, B. Multiplizieren Modulo p, wobei p eine groBe 
Primzahl ist), oder auch sogenannte "elliptische Kur- 
ven". Elliptische Kurven sind vor allem deshalb interes- 
sant. well sie bei gleichem Sicherheitsniveau wesentliche 
kOrzere Sicherheitsparameter erlauben. Dies betrifft die 
Lange der dffentlichen SchlQssel, die Lange der Zertifi- 
kate, die Lange der bei der SitzungsschlQsselvereinba- 
rung auszutauschenden Nachrichten sowie die Lange 
von digitalen Signaturen, die jeweils im weiteren be- 
schrieben werden. Der Grund dafilr ist, daB die fiir ellip- 
tische Kurven bekannten Logarithmierverfahren we- 
sentlich weniger effizient sind als die fur endliche Kdr- 
per. 

Eine groBe Primzahl in diesem Zusammenhang be- 
deutet, daB die GroBe der Primzahl so gewahlt werden 
muB, daB die Logarithmierung so aufwendig ist, daB sie 
nicht in vertretbarer Zeit durchgefQhrt werden kann. 
Vertretbar bedeutet in diesem Zusammenhang einen 
Zeitraum entsprechend der Sicherheitspolitik von meh- 
reren Jahren bis Jahrzehnten und langer. 

Nach der Berechnung des ersten Werts g^ wird eine 
erste Nachricht Ml codiert, die mindestens den ersten 
Wert g* aufweist Die erste Nachricht Ml wird von der 
Benutzercomputereinheit U an die Netzcomputerein- 
heit N libertragen. 

In der Netzcomputereinheit N wird die erste Nach- 
richt Ml decodiert Die erste Nachricht Ml kann auch 
aber einen unsicheren Kanal, also auch iiber eine Luft- 
schnittsteile, unverschlUsselt ubertragen werden, da die 
Logarithmierung des ersten Wertes g^ nicht in vertret- 
barer Zeit durchgefQhrt werden kann. 

Wie in Fig. 2 beschrieben, kann es vorgesehen sein. 
daB in der Netzcomputereinheit N eine zweite Zufalls- 
zahl r generiert wird. Durch diesen zusatzlichen Verfah- 
rensschritt wird ein zusatzliches Sicherheitsziei reali- 
siert: die Zusicherung der Frische (AktualitSt) eines im 
folgenden beschriebenen Sitzungsschlussels K fiir die 
Netzcomputereinheit N. 

In der Netzcomputereinheit N wird mit Hilfe einer 
ersten Hash-Funktion hi ein SitzungsschlOssel K gebil- 
det. Als eine erste Eingangsgr6Be der ersten Hash- 
Funktion hi wird mindestens ein erster Term verwen- 
det Der erste Term wird gebildet, indem der erste Wert 
g^ potenziert wird mit einem geheimen Netzschlflssels. 

Unter einer Hash-Funktion ist in diesem Zusammen- 
hang eine Funktion zu verstehen, bei der es nicht m6g- 
lich ist, zu einem gegebenen Funktionswert einen pas- 
senden Eingangswert zu berechnen. Ferner wird einer 
beliebig langen Eingangszeichenfolge eine Ausgangs- 
zeichenfolge fester Lange zugeordnet Des weiteren 
wird fOr die Hash-Funktion in diesem Zusammenhang 
KoUisionsfreiheit gefordert, d. h. es darf nicht mdglich 
sein, zwei verschiedene Eingangszeichenfolgen zu fin- 
den, die dieselbe Ausgangszeichenfolge ergeben. 

Wenn die zweite Zufallszahl r verwendet wird, so 
weist die erste Eingangsgr66e der ersten Hash-Funk- 
tion hi zusatzlich mindestens die zweite Zufallszahl r 
auf. 

Nun wird in der Netzcomputereinheit N eine Ant- 
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wort A gebildet Zur Biidung der Antwort A sind ver- 
schiedene Varianten vorgesehen. So ist es z. B. m5glich, 
daB mit dem SitzungsschlQssel K unter Verwendung 
einer VerschlUsselungsfunktion Enc eine Konstante 
const verschlOsselt wird. Die Konstante const ist sowohl 5 
der Benutzercomputereinheit U als auch der Netzcom- 
putereinheit N bekannt Auch die VerschlQsselungs- 
funktion Enc ist sowohl der Netzcomputereinheit N als 
auch der Benutzercomputereinheit U ais die in dem er- 
findungsgemaBen Verfahren zu verwendende Ver- 10 
schlUsselungsfunktion bekannt 

Eine weitere Mdglichkeit, die Antwort A zu bilden 
liegt z. B. darin, daB der SitzungsschlUssel K als Ein- 
gangsgrdBe fOr eine dritte Hash-Funktion h3 verwendet 
wird und der "gehashte" Wert des SitzungsschlQssels K 15 
als Antwort A verwendet wird Weitere M6giichkeiten, 
die Antwort A zu bilden. die zur OberprUfung des Sit- 
zungsschlQssels K in der Benutzercomputereinheit U 
verwendet wird, sind dem Fachmann geiaufig und kon- 
nen als Varianten zu den beschriebenen Vorgehenswei- 20 
sen verwendet werden. 

Eine Aneinanderreihung der zweiten Zufallszahl r, 
der Antwort A, sowie ein optionales erstes Datenfeld 
datl bilden eine zweite Nachricht M2. Die zweite Zu- 
fallszahl r und das optionale erste Datenfeld datl sind 25 
nur in der zweiten Nachricht 112 enthalten, wenn diese 
in dem erfindungsgemaBen Verfahren vorgesehen wer- 
den. 

Die zweite Nachricht M2 wird in der Netzcompute- 
reinheit N codiert und zu der Benutzercomputereinheit 30 
U Qbertragen. 

In der Benutzercomputereinheit U wird die zweite 
Nachricht M2 decodiert, so daB die Benutzercompute- 
reinheit U eventueii die zweite Zufallszahl r, die Ant- 
wort A sowie eventueii das optionale erste Datenfeld 35 
datl zur VerfUgung hat Die Lange des optionalen er- 
sten Datenfeldes datl kann beliebig groB sein, d. h. es ist 
auch mdglich, daB das optionale erste Datenfeld datl 
nicht vorhanden ist 

In der Benutzercomputereinheit U wird nun ebenfails 40 
der SitzungsschlQssel K gebildet, mit Hilfe der ersten 
Hash-Funktion hi, die sowohl der Netzcomputereinheit 
N als auch der Benutzercomputereinheit U bekannt ist 
Eine zweite Eingangsgr6Be der ersten Hash-Funktion 
hi zur Biidung des SitzungsschlQssels K. in der Benut- 45 
zercomputereinheit U weist mindestens einen zweiten 
Term auf. Der zweite Term wird gebildet aus einer Ex- 
ponentation eines dffentlichen NetzschlQssels mit der 
ersten Zufallszahl t Wenn die Verwendung der zweiten 
Zufallszahl r in dem erfindungsgemaBen Verfahren vor- 50 
gesehen wird, so weist die zweite EingangsgrOBe der 
ersten Hash-Funktion hi zur Biidung des Sitzungs- 
schlQssels K in der Benutzercomputereinheit U zusatz- 
lich die zweite Zufallszahl auf. 

Durch die Verwendung der ersten Zufallszahl t und 55 
der zweiten Zufallszahl r bei der Generierung des Sit- 
zungsschlQssels K wird die Aktualitat des Sitzungs- 
schlQssels K gewahrleistet, da jeweils die erste Zufalls- 
zahl t als auch die zweite Zufallszahl r nur fur jeweils 
einen SitzungsschlQssel K verwendet werden. eo 

Somit wird eine Wiedereinspielung eines alteren 
SchlQssels als SitzungsschlQssel K verhindert Die Ak- 
tualitat des SitzungsschlQssels K ist auch bedeutend im 
Zusammenhang mit der Fragestellung, wie groB die er- 
ste Zufallszahl t sowie die zweite Zufallszahl r sein mQs- 65 
sen. Dies wird deutlich, da eine geringere Lange der 
Zufallszahlen das DLP- Problem verringern, d. h. je kur- 
zer die Zufallszahl ist, desto einfacher ist die Lx)garith- 
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mierung, also z. B. das Herausfmden der ersten Zufalls- 
zahl t aus dem ersten Wert g\ Wenn aber fQr jeden 
neuen SitzungsschlQssel K andere Zufallszahlen ver- 
wendet werden, so ist die Wahrscheinlichkeit, daB der 
verwendete SitzungsschlQssel K von einem unbefugten 
Dritten schon herausgefunden wurde, wesentlich gerin- 
ger. Damit ist die Gefahr, daB der Teil einer Nachricht, 
der mit dem SitzungsschlQssel K verschlQsselt ist, von 
einem unbefugten Dritten entschlusselt werden kann, 
erheblich reduziert 

Nachdem in der Benutzercomputereinheit U der Sit- 
zungsschlQssel K gebildet wurde, wird anhand der emp- 
fangenen Antwort A QberprQft, ob der in der Benutzer- 
computereinheit U gebildete SitzungsschlQssel K mit 
dem SitzungsschlQssel K, der in der Netzcomputerein- 
heit N gebildet wurde, Qbereinstimmt Abhangig von 
den im vorigen beschriebenen Varianten zur Biidung 
der Antwort A sind verschiedene Mdglichkeiten vorge- 
sehen, den SitzungsschlQssel K anhand der Antwort A 
zu Qberprufen. 

Eine Moglichkeit besteht z. B. darin, daB, wenn die 
Antwort A in der Netzcomputereinheit N durch Ver- 
schlQsselung der Konstante const mit dem Sitzungs- 
schlQssel K unter Verwendung der VerschlQsselungs- 
funktion Enc gebildet wurde, die Antwort A entschlus- 
selt wird, und somit die Benutzercomputereinheit U ei- 
ne entschlQssehe Konstante const' erhait, die mit der 
bekannten Konstante const verglichen wird. 

Die OberprQfung des SitzungsschlQssels K anhand 
der Antwort A kann auch durchgefQhrt werden, indem 
die der Benutzercomputereinheit U bekannte Konstan- 
te const mit dem in der Benutzercomputereinheit U 
gebildeten SitzungsschlQssel K unter Verwendung der 
VerschlQsselungsfunktion Enc verschlQsselt wird und 
das Ergebnis mit der Antwort A auf Obereinstimmung 
geprQft wird. Diese Vorgehensweise wird z. B. auch ver- 
wendet, wenn die Antwort A in der Netzcomputerein- 
heit N gebildet wird, indem auf den SitzungsschlQssel K 
die dritte Hash-Funktion h3 angewendet wird. In diesem 
Fall wird in der Benutzercomputereinheit U der in der 
Benutzercomputereinheit U gebildete SitzungsschlQssel 
K als EingangsgrOBe der dritten Hash-Funktion h3 ver- 
wendet Der "gehashte" Wert des in der Benutzercom- 
putereinheit U gebildeten SitzungsschlQssels K wird 
dann mit der Antwort A auf Obereinstimmung geprQft 
Damit wird das Ziel der Schlusselbestatigung des Sit- 
zungsschlQssels K erreicht 

Dadurch, daB bei der Berechnung des SitzungsschlQs- 
sels K in der Netzcomputereinheit N der geheime Netz- 
schlQssel s und bei der Berechnung des SitzungsschlQs- 
sels K in der Benutzercomputereinheit U der offentliche 
NetzschlQssel g^ verwendet werden, wird die Netzcom- 
putereinheit N durch die Benutzercomputereinheit U 
authentifiziert Dies wird erreicht, vorausgesetzt daB fQr 
die Benutzercomputereinheit U bekannt ist dafl der 5f- 
fentliche NetzschlQssel g^ tatsachlich zur Netzcompute- 
reinheit N gehart 

Im AnschluB an die Bestatigung des SitzungsschlQs- 
sels K durch OberprQfung der Antwort A wird ein Si- 
gnaturterm berechnet Hierzu wird mit Hilfe einer zwei- 
ten Hash-Funktion h2 eine vierte EingangsgrftBe gebil- 
det Die zweite Hash-Funktion h2 kann, muB aber nicht 
dieselbe Hash-Funktion sein wie die erste Hash-Funk- 
tion hi. Als eine dritte Eingangsgr6Be fQr die zweite 
Hash-Funktion h2 wird ein Term verwendet der minde- 
stens den SitzungsschlQssel K enthait Weiterhin kann 
die dritte EingangsgroBe das optionale erste Datenfeld 
datl Oder auch ein optionales zweites Datenfeld dat2 
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enthalten, wenn deren Verwendung in dem erfindungs- 
gemftBen Verfahren vorgesehen wird 

Es kann spHter nicht abgestritten werden, daB die 
Daten, die im ersten optionaie Datenfeld datl und im 
zweiten optionalen Datenfeld dat2 enthalten sind, von 
der Benutzercomputereinheit U gesendet wurden. 

Die in dem ersten optionalen Datenfeld datl und in 
dem zweiten optionalen Datenfeld dat2 enthaltenen Da- 
ten kdnnen z. B. Telefonnummem, die aktuelle Zeit oder 
ahnliche hierfflr geeignete Parameter sein. Diese Infor- 
mation kann als Werkzeug fllr eine unanfechtbare Ge- 
btihrenabrechnung verwendet werden. 

Unter Verwendung einer ersten Signaturfunktion Si- 
gu wird der Signaturterm aus mindestens der vierten 
EingangsgrdBe gebildet Um einen hdheren Sicherheits- 
grad zu erzielen, kann der Signaturterm verschltisselt 
werden. Der Signaturterm wird in diesem Fall mit dem 
SitzungsschlOssel K unter Verwendung der VerschlOs- 
selungsfunktion Enc verschiasselt und bildet den ersten 
versciililsseltenTerm VTl. 

AuSerdem wird, falls das Sicherheitsziel "Anonymitat 
des Benutzers** reaiisiert werden soli, ein zweiter ver- 
schlttsselter Term VT2 berechnet, in dem eine Identi- 
titsgrafie IMUI der Benutzercomputereinheit U mit 
dem SitzungsschlUssel K mit Hilfe der Verschlflssel- 
ungsfunktion Enc verschltisselt wird Bei Verwendung 
eines optionalen zweiten Datenfeldes dat2 wird in der 
Benutzercomputereinheit U ein dritter verschlQsselter 
Term VT3 berechnet, indem das optionaie zweite Da- 
tenfeld dat2 mit dem Sitzungsschitissei K unter Verwen- 
dung der Verschlttsselungsfunktion Enc verschliisselt 
wird, das optionaie zweite Datenfeld dat2 kann auch 
unverschlUsselt Qbertragen werden. 

In der Benutzercomputereinheit U wird eine dritte 
Nachricht M3 gebildet und codiert, die mindestens den 
Signaturterm und die IdentitatsgrdBe |MU| der Benut- 
zercomputereinheit U aufweist 

Falls die Anonymitat der Benutzercomputereinheit U 
gewahrleistet werden soil, weist die dritte Nachricht M3 
anstatt der IdentitStsgrdBe |MU| der Benutzercompute- 
reinheit U mindestens den zweiten verschltisselten 
Term VT2 auf, der die Information aber die Identitat der 
Benutzercomputereinheit U in verschlQsselter Form 
enthalt, die nur von der Netzcomputereinheit N ent- 
schltisselt werden kann. 

Wenn die Verwendung des optionalen zweiten Da- 
tenfelds dat2 vorgesehen wird, weist die dritte Nach- 
richt M3 zusatzlich mindestens den dritten verschlQssel- 
ten Term VT3 oder das optionaie zweite Datenfeld dat2 
im Klartext auf. 

Wenn die dritte Nachricht M3 den ersten verschlus- 
selten Term VTl, den zweiten verschlOsselten Term 
VT2 Oder den dritten verschltisselten Term VT3 enthalt, 
werden diese in der Netzcomputereinheit N entschliis- 
selt Dies geschieht fiir den eventuell vorhandenen er- 
sten verschlOsselten Term VTl vor der Verifikation des 
Signaturterms. 

Die dritte Nachricht M3 wird von der Benutzercom- 
putereinheit U zu der Netzcomputereinheit N Ubertra- 
gen. 

Zusatzlich wird die Authentifikation der Benutzer- 
computereinheit U gegenliber der Netzcomputerein- 
heit N durch den Signaturterm gewahrleistet, durch de- 
ren Verwendung garantiert wird, daB die dritte Nach- 
richt M3 tatsichlich aktuell von der Benutzercompute- 
reinheit U gesendet wurde. 

In der Netzcomputereinheit N wird die dritte Nach- 
richt M3 decodiert und anschlieBend wird anhand eines 



Benuterzertifikats CertU, das der Netzcomputereinheit 
N zur Verf agung steht, der Signaturterm verif iziert 

Wenn fQr das erfindungsgemtfie Verfahren tempora- 
re Benutzeridentitaten vorgesehen werden, so wird das 
5 im vorigen beschriebene Verfahren um einige Verfah- 
rensschritte erweitert 

Zuerst muB der Netzcomputereinheit N bekannt ge- 
macht werden, welche Benutzercomputereinheit U eine 
neue temporare IdentitatsgrdBe TMUIN von der Netz- 
10 computereinheit N zugewiesen bekommen soil. 

Hierzu wird als zusatzlicher Bestandteil der ersten 
Nachricht Ml eine alte temporare IdentitatsgrdBe 
TMUIO von der Benutzercomputereinheit U an die 
Netzcomputereinheit N Qbertragen. 
15 Nach Empfang der ersten Nachricht Ml ist somit in 
der Netzcomputereinheit N bekannt, fur welche Benut- 
zercomputereinheit U die neue temporare Identitats- 
grdBe TMUIN bestimmt ist 
In der Netzcomputereinheit N wird dann die neue 
20 temporare IdentitatsgrdBe TMUIN fiir die Benutzer- 
computereinheit U gebildet. Dies kann z. B, durch Ge- 
nerierung einer Zufallszahl oder durch Tabellen, in de- 
nen mdgliche IdentitatsgroBen abgespeichert sind, 
durchgefahrt werden. Aus der neuen temporaren Iden- 
25 titatsgrdBe TMUIN der Benutzercomputereinheit U 
wird in der Netzcomputereinheit N ein vierter ver- 
schliisselter Term VT4 gebOdet, indem die neue tempo- 
rare IdentitatsgrdBe TMUIN der Benutzercompute- 
reinheit U mit dem SitzungsschlUssel K unter Verwen- 
30 dung der Verschiiisselungsfunktion Enc verschlQsselt 
wird 

In diesem Fall weist die zweite Nachricht N2 zusatz- 
lich mindestens den vierten verschlOsselten Term VT4 
auf. Der vierte verschlQsselte Term VT4 wird dann in 
35 der Benutzercomputereinheit U entschiOsselt Nun ist 
die neue temporare IdentitatsgrdBe TMUIN der Benut- 
zercomputereinheit U in der Benutzercomputereinheit 
U verf Ugbar. 

Damit der Netzcomputereinheit N auch gewahrlei- 
40 stet wird, daB die Benutzercomputereinheit *U die neue 
temporare IdentitatsgrdBe TMUIN korrekt empfangen 
hat, weist die dritte EingangsgrdBe fOr die erste Hash- 
Funktion hi oder fOr die zweite Hash-Funktion h2 zu- 
satzlich mindestens die neue temporare IdentitatsgrdBe 
45 TMUIN der Benutzercomputereinheit U auf. 

Da die Information der neuen temporaren Identitats- 
grdBe TMUIN in dem Signaturterm in diesem Fall ent- 
halten ist, weist die dritte Nachricht M3 nicht mehr die 
IdentitatsgrdBe IMUI der Benutzercomputereinheit U 
50 auf. 

Es ist auch mdglich, die neue temporare Identitats- 
grdBe TMUIN nicht in den Signaturterm zu integrieren, 
sondem den zweiten verschlOsselten Term VT2 zu bil- 
den, indem anstatt der IdentitatsgrdBe |MU| der Benut- 
55 zercomputereinheit U die neue temporare Identitats- 
grdBe TMUIN mit dem SitzungsschlQssei K unter Ver- 
wendung der VerschlOsseiungsfimktion Enc verschlOs- 
selt wird. In diesem Fall weist die dritte Nachricht M3 
zusatzlich den zweiten verschlOsselten Temr VT2 auf. 
60 Die in dem erfindungsgemaBen Verfahren verwende- 
ten Hash-Funktionen, die erste Hash-Funktion hi, die 
zweite Hash-Funktion h2 und die dritte Hash-Funktion 
h3 kdnnen durch die gleiche, aber auch durch verschie- 
dene Hash-Funktionen reaiisiert werden. 

65 

Patentanspruche 
1. Verfahren zum rechnergestutzten Austausch 
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kryptographischer SchlCissel zwischen einer Benut- 
zercomputereinheit (U) und einer Netzcompute- 
reinheit(N). 

— bei dem aus einer ersten Zufallszahl (t) mit 
Hilfe eines erzeugenden Elements (g) einer 5 
endlichen Gruppe in der Benutzercompute- 
reinheit (U) ein erster Wert (g*) gebildet wird, 

— bei eine erste Nachricht (Ml) von der Be- 
nutzercomputereinheit (U) an die Netzcompu- 
tereinheit (N) flbertragen wird, wobei die er- to 
sten Nachricht (Ml) mindestens den ersten 
Wert (g^) auf weist, 

— bei dem in der Netzcomputereinheit (N) ein 
Sitzungsschliissel (K) mit Hilfe einer ersten 
Hash-Funktion (hi) gebildet wird, wobei eine 15 
erste Eingangsgr6Be der ersten Hash-Funk- 
tion (hi) mindestens einen ersten Term auf- 
weist, der gebildet wird durch eine Exponen- 
tiation des ersten Werts (g^) mit einem gehei- 
men Netzschltissel (s), 20 

— bei dem in der Netzcomputereinheit (N) 
eine Antwort (A) gebildet wird, 

— bei dem eine zweite Nachricht (M2) von der 
Netzcomputereinheit (N) an die Benutzercoin- 
putereinheit (U) iibertragen wird, wobei die 25 
zweite Nachricht (M2) mindestens die Ant- 
wort (A) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U) der Sitzungsschliissel (K) gebildet wird mit 
Hilfe der ersten Hash-Funktion (hi), wobei ei- 30 
ne zweite Eingangsgr6Be der ersten Hash- 
Funktion (hi) mindestens einen zweiten Term 
aufweist, der gebildet wird durch eine Expo- 
nentiation eines 6ffentlichen Netzschlussels 
(g*) mit der ersten Zufallszahl (t), 35 

— bei dem in der Benutzercomputereinheit 
(U) der Sitzungsschliissel (K) anhand der Ant- 
wort (A) uberpruft wird, 

— bei dem in der Benutzercomputereinheit 
(U) mit Hilfe einer zweiten Hash-Funktion (h2) 40 
Oder der ersten Hash-Funktion (hi) eine vierte 
EingangsgrdBe gebildet wird, wobei eine dritte 
EingangsgrdBe fiir die erste Hash-Funktion 
(hi) Oder fOr die zweite Hash-Funktion (h2) 
zur Bildung der vierten Eingangsgr66e minde- 45 
stens den Sitzungsschliissel (K) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U) ein Signaturterm aus mindestens der vier- 
ten EingangsgrfiBe gebildet wird unter An- 
wendung einer ersten Signaturfunktion (Sigu), 50 

— bei dem eine dritte Nachricht (M3) von der 
Benutzercomputereinheit (U) an die Netzcom- 
putereinheit (N) Ubertragen wird, wobei die 
dritte Nachricht (M3) mindestens den Signa- 
turterm und eine IdentitatsgrdBe (IMUI) der 55 
Benutzercomputereinheit (U) aufweist, und 

— bei dem in der Netzcomputereinheit (N) der 
Signaturterm verifiziert wird. 

2. Verfahren nach Anspruch 1, 

— bei dem in der Netzcomputereinheit (N) die eo 
erste EingangsgrdBe der ersten Hash-Funk- 
tion (hi) zusatzlich mindestens eine zweite Zu- 
fallszahl (r) aufweist, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich die zweite Zufallszahl (r) aufweist. und 65 

— bei dem in der Benutzercomputereinheit 
(U) die zweite EingangsgrdBe der ersten Hash- 
Funktion (hi) zus^tzlich mindestens die zweite 
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Zufallszahl (r) aufweist 

3. Verfahren nach Anspruch 1 oder 2, 

— bei dem die erste Nachricht (Ml) zusatzlich 
mindestens eine alte temporSre Identitatsgrd- 
Be (TMUIO) der Benutzercomputereinheit (U) 
aufweist, 

— bei dem in der Netzcomputereinheit (N), 
nach dem die ersten Nachricht (Ml) empfan- 
gen wurde und bevor die zweite Nachricht 
(M2) gebildet wird, fiir die Benutzercompute- 
reinheit (U) eine neue temporSre Identitats- 
groBe (TMUIN) der Benutzercomputereinheit 
(U) gebildet wird, 

— bei dem aus der neuen temporSren Identi- 
tatsgrafie (TMUIN) der Benutzercompute- 
reinheit (U) ein vierter verschliisselter Term 
(VTA) gebildet wird, in dem die neue tempora- 
re IdentitatsgrCBe (TMUIN) der Benutzer- 
computereinheit (U) mit dem Sitzungsschliis- 
sel (K) unter Anwendung der Verschliissel- 
ungsfunktion (Enc) verschliisselt wird, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich mindestens den vierten verschlusselten 
Term (VT4) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U), nachdem die zweite Nachricht (M2) emp- 
fangen wurde und bevor die vierte Eingangs- 
grdBe gebildet wird, der vierte verschlusselte 
Term (VT4) entschlusselt wird, 

— bei dem die dritte EingangsgrSBe fflr die 
erste Hash-Funktion (hi) oder fttr die zweite 
Hash-Funktion (h2) zur Bildung der vierten 
EingangsgrdBe zusatzlich mindestens die neue 
temporare IdentitatsgrdBe (TMUIN) der Be- 
nutzercomputereinheit (U) aufweist, und 

— bei dem die dritte Nachricht (M3) nicht die 
IdentitatsgroBe (IMUI) der Benutzercompute- 
reinheit (U) aufweist 

4. Verfahren nach einem der Anschliisse 1 bis 3, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der dritten Nachricht (M3) aus 
der IdentitatsgrdBe (IMUI) der Benutzercom- 
putereinheit (U) ein zweiter verschlusselter 
Term (VT2) gebildet wird, in dem die Identi- 
tatsgroBe (IMUI) mit dem Sitzungsschliissel 
(K) unter Anwendung der Verschliisselungs- 
funktion (Enc) verschliisselt wird, 

— bei dem die dritte Nachricht (M3) anstatt 
der IdentitatsgrdBe (IMUI) der Benutzercom- 
putereinheit (U) den zweiten verschliisselten 
Term (VT2) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der zweite verschlilsselte Term (VT2) 
entschliisselt wird. 

5. Verfahren nach einem der AnsprUche 1 bis 4, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich ein optionales erstes Datenfeld (datl) auf- 
weist und 

— bei dem die dritte EingangsgrdBe fiir die 
erste Hash-Funktion (hi) oder fQr die zweite 
Hash-Funktion (h2) zur Bildung der vierten 
EingangsgrdBe zusatzlich mindestens das op- 
tionale erste Datenfeld (datl) aufweist 

6. Verfahren nach einem der Anspriiche 1 bis 5, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der dritten Nachricht (M3) ein 
dritter verschlQsselter Term (VT3) gebildet 
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wird, indem ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschliissel (K) unter An- 
wendung der Verschlusselungsfunktion (Enc) 
verschltisselt wird, 

— bei dem die dritte Nachricht (M3) zusStzIich 5 
mindestens den dritten verschlQsselten Term 
(VT3) aufweist, und 

— bei dem in der Netzcomputereinheit (N). 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der dritte verschlOsselte Term (VT3) 10 
entschlOsselt wird. 

7. Verf ahren nach einem der AnsprOche 1 bis 6, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der dritten Nachricht (M3) ein 
erster verschlUsselter Term (VTl) gebildet 15 
wird, indem der Signaturterm mit dem Sit- 
zungsschliissel (K) unter Anwendung der Ver- 
schiQsselungsfunktion (Enc) verschlUsselt wird, 

— bei dem die dritte Nachricht (MS) anstatt 
des Signaturterms den ersten verschlusselten 20 
Term (VTl) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wiuxie und bevor der Signaturterm verifiziert 
wird, der erste verschlQsselte Term (VTl) ent- 25 
schlOsseltwird 

8. Verfahren nach einem der Anspriiche 1 bis 7, bei 
dem in der Netzcomputereinheit (N) die Antwort 
(A) gebildet wird. indem eine Konstante (const), die 

in der Netzcomputereinheit (N) und in der Benut- 30 
zercomputereinheit (U) bekannt smd, mit dem Sit- 
zungsschiassel (K) unter Anwendung der Ver- 
schlQsselungsfunktion (Enc) verschliisselt wird. 

9. Verfahren nach einem der AnsprUche 1 bis 7, 

— bei dem in der Netzcomputereinheit (N) die 35 
Antwort (A) gebildet wird, indem auf den Sit- 
zungsschliissel (K) eine dritte Hash-Funktion 
(h3) angewendet wird, und 

— bei dem in der Benutzercomputereinheit 
(U) die Antwort (A) uberprQft wird, indem auf 40 
den SitzungsschlQssel (K) die dritte Hash- 
Funktion (h3) angewendet wird, und das Er- 
gebnis mit der Antwort (A) verglichen wird. 

10. Verfahren nach einem der Anspruche 1 bis 7 
Oder 9, bei dem in der Benutzercomputereinheit (U) 45 
die Antwort (A) ilberprQft wird, indem die Kon- 
stante (const) mit dem SitzungsschlUssel (K) unter 
Anwendung der Verschlusselungsfunktion (Enc) 
verschliisselt wird und das Ergebnis mit der Ant- 
wort (A) verglichen wird. 50 

11. Verfahren nach einem der Anspruche 1 bis 7 
Oder 9, bei dem in der Benutzercomputereinheit (U) 
die Antwort (A) iiberprtlft wird, indem die Antwort 
(A) mit dem Sitzungsschliissel (K) unter Anwen- 
dung der VerschlQsselungsfunktion (Enc) entschlus- 55 
selt wird und eine entschliisselte Konstante (const') 
mit der Konstante (const) verglichen wird. 

12. Verfahren nach einem der Anspruche 1 bis 5, bei 
dem die dritte Nachricht (M3) zusatzlich minde- 
stens ein optionales zweites Datenfeld (dat2) auf- eo 
weist 
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Berechnen eines 
ersten Werts 



Ml =gt 



Netzcomputereinheit N 



Berechnen des Sitzungsschlussels 
K:= hl((gS)t) 



I Uberpriifen der Antwort A I 



Berechnen eines Signaturterms 
Sigu( h2(K)) 



M2 = A 



Berechnen eines SitzungsschlUssels 
K:=hl((gt)S) 



X 



Berechnen einer Antwort A 
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Verifizieren von 
Sigu( h2(K II datal i| data2) 

anhand eines Benutzerzertifikats 
CertU des Offentlichen 
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Berechnen eines Sitzungsschltissels 
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Berechnen einer Antwort 
A:= Enc (K> const) 



Berechnen des Sitzungsschlussels 
K:= hl((gS)t||r) 



Uberprflfen der Antwort A 



Berechnen eines ersten verschlUsselten Terms 
VTl := Enc(K, SigTT( h2(K II datl || dat2))) 



Berechnen eines zweiten verschlUsselten Terms 
VT2 := Enc (K. IMUI) 



Berechnen eines dritten verschJiisselten Terms 
VT3 Enc (K, dat2) 



M3 = VT1 II VT2 



VT3 



Entschlusseln von 
VTl, VT2und VT3 



Verifizieren von 
Sigu( h2(K II datal || data2) 
anhand eines Benutzerzertifikats 
CertU des Offentlichen 
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